Group Policy Object – Phần 1Chào các bạn, hôm nay tiếp nối seri ” Tự học MCSA 2012″ mình xin được trình bày các vấn đề về Group Policy ObjectChuẩn bị:máy DC: 2012may1 IP: 192.168.2.100/241 máy computer member domain: 2012may2 192.168.2.101/21Tạo cấu trúc OU theo hình cây: OU CongTy chứa 2 OU con là KeToan, NhanSuTrong OU KeToan chứa: Group KT và KT1, Kt2. OU NhanSu làm tương tự Như đã đề cập, việc xây dựng OU ngoài mục đích dễ quản ly, dễ dàng ủy nhiệm cho việc quản lý thì chức năng quan trọng của OU là giúp ta triển khai chính sách (policy) ở cấp độ domainGroup Policy bao gồm 2 loại: local policy và domain policy. Local Policy chỉnh ở đâu thì chỉ có nơi đó tác động.Domain Policy thì chỉ cần chỉnh ở 1 nơi mà tác động ở nhiều nơi (toàn Domain hoặc các OU cụ thể).Để triển khai bộ Domain Policy thì ta phải thông qua một đối tượng (AD object) trung gian là  Group Policy Object (GPO). Local Policy thì ta chỉnh trực tiếp (gpedit.msc: Local Group Policy Editor).GPO là 1 AD object dùng để chứa những policy được thiết lập nhằm tác động trên hệ thống. 1 GPO có thể chứa 1 hoặc nhiều Policy khác nhau. Cùng 1 Policy có thể chứa trên nhiều GPO khác nhau.Lưu ý:+ Trên 1 GPO chỉ nên chỉnh 1 Policy (tốt nhất là nên như thế) hoặc 1 nhóm policy có quan hệ với nhau về mặt luận lý ( 1 nhóm policy liên quan đến OU KeToan).+ Đặt tên GPO phải tường minh, mô tả được chức năng của policy  ( VD: GPO1 –  restrict control panel)+ GPO chỉ tác động lên 3 đối tượng (object) trong AD (Active Directory): OU, User, Computer account.(GPO có thể tác động vào nhiều  OU, User, computer account và ngược lại). Như vậy Group không bị tác động.

+ GPO có tính kế thừa: GPO mà tác động domain thì tất cả các đối tượng đều bị tác động. GPO tác động lên 1 OU thì các đối tượng bên trong (OU con, user, computer) đều bị tác động . Do đó các chính sách chung của công ty, của phòng ban ta có thể dùng tính kế thừa để triển khai nhanh gọn.Mở Công cụ quản lý GPORun -> gpmc.msc: Group Policy Management.

gpmc.msc Ở bài Domain Network – Phần 1, mình đã hướng dẫn cách áp đặt policy để đặt password đơn giản bằng Default Domain Policy. Thực chất Default Domain Policy là một GPO, tác động đến toàn domian (tính kế thừa xuống các đối tượng con).

Domain Controller Security Policy: Là GPO  tác động đến OU Domain Controller (là OU chứa DC).  GPO này chỉ tác động đến DC.+ Các bạn tự  thiết lập các policy ở Phần 1 .Công ty có nhu cầu : Nhân viên công ty cấm Control Panel  => Tạo GPO ở OU công ty ( lưu ý: GPO tác động tới đâu thì làm việc ở vị trí đó)

PolicyChọn vào OU CongTy -> Create a GPO in this domain and Link it here …

Create GPOKhai báo tên GPO -> OKSau khi tạo GPO xong, phải chuột GPO -> Edit để tìm policy cấm control panel

EditEnable Policy này lên.

Cấm Control PanelTương tự tạo thêm các policy trên OU CongTy:+ GPO 2: ẩn Recycle BinSau khi thực hiện các chính sách của công ty thì các phòng ban cũng có các chính sách riêng. Phòng Kế Toán: Cấm sử dụng IE+ GPO 3: cam IEPhòng Nhân Sự: Cấm sử dụng command line, cấm mở công cụ Active Directory Users and Computers.+ GPO 4: cam cmd+ GPO5: cam mo ADUCCách chỉnh GPO5: User configuration ->Policies ->  Administrative template -> Windwos Component -> Microsoft Management Console -> Restricted/ Permitted Snap-in ->  Active Directories Sites and Services

Ta Enbale Policy này

cấm ADUCSau đó chạy lệnh gpupdate /forceLưu ý: Ta nên sẽ sơ đồ hình cây về tổ chức kèm theo các GPO để dễ quản lý

Các GPO áp đặt 

Sơ đồ Ta Test từng user thì thấy rằng:User KT1, KT2 sẽ chịu ảnh hưởng của GPO:  Default Domain Policy, 1, 2, 3.

User NS1, NS2  sẽ chịu ảnh hưởng của GPO:  Default Domain Policy, 1, 2, 4, 5Group KeToan và NhanSu không bị ảnh hưởng.=> Chúng ta đã thấy tính kế thừa của GPO. Tình huống: Ta muốn cấm các user trong OU KeToan mở ADUC. Thay vì phải tạo thêm 1 GPO  tác động lên OU KeToan thì ta chỉ cần lấy GPO 5 tác động lên OU KeToan. Ta sử dụng tính năng “ Link” của GPO.Ta chọn vào OU KetToan -> chọn Link an existing GPO 

Link GPOXuất hiện giao diện SELECT GPOTa chọn GPO 5 ( hoặc các GPO khác tùy nhu cầu)

Select GPO Tình huống: Khi thực hiện chính sách cấm Control Panel thì nhân viên than phiền nhiều nên ta muốn bỏ tác động của GPO 1 lên người dùng. Để bỏ tác động của GPO, ta có 2 cách:Cách 1: xóa hẳn GPO (chỉ dùng khi tổ chức bỏ hẳn chính sách đó lên toàn công ty)

Chọn Delete để xóaChọn Delete.

Đã xóa GPO 1Ta thấy sau khi bỏ thì OU CongTy mất GPO 1, nhưng GPO 1 vẫn còn tồn tại ở trong Group Policies Object. Nếu muốn dùng lại GPO 1 cho OU CongTy thì lại tiếp tục sử dụng tính năng  “Link an existing GPO”.Cách 2: Bỏ tính năng Link GPO ( Bỏ tính kế thừa của 1 GPO xuống các đối tượng con)

Bỏ tính kế thừa của GPOBỏ check  Link EnabledCác bạn tự kiểm tra kết quả các tình huống. Phần 1 mình chỉ trình bày cơ bản về Group Policy Object (GPO)